みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

トークン接続に関する原因調査及び解決方法について

テレワーク・デイ(http://teleworkgekkan.org/day0724/)ということもあり、今日 テレワークを行っているユーザーから問い合わせがありました。
ユーザーは自宅から会社にリモート接続を試みるのですが、「無効な認証情報です」というメッセージで接続できないという事象のため、コールセンター要員である自分は内容を伺い、サーバー担当者に認証サーバー側のログ確認依頼をして原因を調べてもらっています。
はじめにActiveDirectoryアカウント&PIN+トークンコードでの認証行われ、認証がが成功した場合、カードによる認証が行われる仕組みになっています。

<サーバー担当者への依頼事項>
(1) 証要求がサーバーまで届いているか(認証要求がサーバーまで届いていない場合、ユーザーに自宅のネットワーク環境を確認してもらいます。)
(2) 証要求がサーバーまで届いている場合、ログに原因となる痕跡が残っているか。痕跡が残っている場合、原因は何か。

サーバー担当者にログを確認してもらったところ、PINコードもトークンコードも問題なく、ログインに成功しているログのみでログインはできているという回答をいただくもですが、実際にはユーザーはログインできないということで問い合わせをされているので、ログにはそのように形跡があるかもしれないが、ログインできないという場合はどのようなことが考えられるかということを確認するのですが明確な回答がいただけません。
ログインできていないというユーザーにログにはログインできているという形跡があるのでログインできていますので問題ありませんという回答をできるはずもなく、困っております。
PINコードまたはトークンコードに誤りがあるログがでていてもユーザーは正しく入力しているけどできないので、ログに出ているのでログは絶対ですという回答もできません。
PINコードに誤りがあるログがあり、正しいPINを入れてもBad PINになることがあり、Bad Tokencodeでトークンを生成するトークン・シードを再度作成して、ユーザーに送ってソフトウェアトークン(RSA SecureID)に取り込んでもらうのですが、事象が改善しないことがあります。

トークンを使った認証において、以下の事象が起きた場合、ログだけで判断をせず、原因調査を行う方法はあるのでしょうか。

(1) ログ上は認証が成功しているにもかかわらず、ログインできない。
(2) ログ上、PINコードまたはトークンコードに誤りがあるが、正しいPINコードまたはトークンコードでログインできない。

サーバー担当者より「Good PIN but Tokencode」または「Bad PIN but good Tokencode」というログがあるという回答をいただく
こともあり、ユーザーに確認するとPINコード、トークンコードは正しく入力しているという回答になることもあります。

PINコードの初期化、トークンを生成するためのトークン・シードをお送りするのですが、改善しないことがあります。

トークンを使った認証において、以下の事象が起きた場合、ログだけで判断をせず、原因調査を行う方法はあるのでしょうか。

(1) ログ上は認証が成功しているにもかかわらず、ログインできない。
(2) ログ上、PINコードまたはトークンコードに誤りがあるが、正しいPINコードまたはトークンコードでログインできない。

マルチメディアファイルは削除されたか見つかりません。

投稿日時 - 2017-07-24 22:37:31

QNo.9355523

すぐに回答ほしいです

質問者が選んだベストアンサー

トークンそのものについての突っ込んだ話はよくわからないのですが、以前ActiveDirectoryで似たようなことがあったので、興味があります。その時は結局原因判らずじまいで復旧してしまったのですが。。。その現象が起きたきっかけ(インフラの変更等、環境の変化)は不明なのでしょうか?そのユーザーのみの現象なのでしょうか?また、再現は可能なのでしょうか?ユーザー側PCやルーターの停止・起動は試されてますよね。サーバー側で認証成功したというメッセージがクライアント側で取り損なってるようなことなんですかね。クライアントソフトはブラウザですか?何か違うリモートソフトでクライアントに接続してみたくなります。

投稿日時 - 2017-07-24 23:46:16

補足

テレワーク・デイに限らず、テレワークされるユーザーがいますが、常にリモート接続も含めてネットワーク環境は安定はしていないです。
インフラ関係の変更を行っているという報告はインフラ担当からないです。

そのユーザーに限ったことではないです。
初めはPINコードが設定されていないので、ソフトウェアトークンまたはハードウェアトークンに表示されているトークンコードを入力後にPINコードを設定するのですが、その後に設定したPINコード+表示されているトークンコードでログインできることを確認した後、翌日になるとログインできないということでユーザーに了承をいただき、PINコードの初期化をサーバー担当に依頼することもあります。

確かに、PINコードを入れていなかったり、PINコードが誤っていたりしてログインできないというユーザーもいます。
しかし、正しいPINコードを入れていても「Bad PIN」になったり、「Good PIN」でもログインできないというユーザーもいます。
トークンコードも次のトークンに切り替わってから入力してもログインできないユーザーもいます。

認証が通っているということはGood PIN, Good TokenCodeなので両方とも誤りがなく、「無効な認証情報です」と表示されるということは、クライアント側にはBad PINまたはBad TokenCodeか、Bad PINかつBad TokenCodeの状態であるという情報がサーバーから通知されていて「無効な認証情報です」となっていると思われると思われ、なぜ、そうなるのか意味が理解できていません、

リモートからの接続ではログイン画面にはユーザー名、パスワード、パスコード(PIN+トークンコードを入力)が表示されますが、5回試して、ActiveDirectoryアカウントがロックされる場合は、ActiveDirectoryアカウントのパスワード入力が間違っていて、PIN+トークンコードが正しくてもログインできないという切り分け方法があるのではないかと今 思いつきました。
※ ActiveDirectoryアカウントのパスワードを5回間違えると、5回目に間違えた時から30分経過後にロックが解除されるポリシーになっています。

シンクライアントPCからの接続で、ブラウザを使用してのログインではないです。
シンクライアントPCの再起動は試してもらっていますが、ルータの再起動は試してもらっていません。
認証要求が認証サーバーに届いていない場合は、接続元であるネットワーク環境の見直しをユーザーに依頼をしています。
フリースポットのアクセスポイントを使用している場合は、そもそも再起動はできません。
また、自宅でもインターネット完備の賃貸物件では、個人のルータではないので、ルータを起動することができません。

投稿日時 - 2017-07-25 07:07:02

このQ&Aは役に立ちましたか?

2人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

どこのフリーAPでもダメならルーターは関係ないですね。前回の正常接続はいつ頃だったのでしょうか?まさかWinUpdateが悪さしてるとかないですよね。あ、シンクラなら関係ないですか…。思いきってテスト用のゲストアカウントを作成して試してもらうとかダメですかね。

投稿日時 - 2017-07-25 12:38:10

お礼

>どこのフリーAPでもダメならルーターは関係ないですね。

どこの会社でもそうですが自宅の環境で駄目なら、切り分けのためでもフリーアクセスポイントにつないで試してもらうということはしないです。

今回の事象の場合、自宅のルータの再起動は普通は行わないです。

ルータの再起動を行う場合、それを行うことで改善するという根拠があるか、また、いろいろ手を尽くして他に方法がなくて仕方がなくといった場合にユーザーに了承を得て、ユーザーに行ってもらいます。
もし、ルータの再起動を指示して、自宅のネットワーク環境に万が一 問題が出た場合、責任問題になりますので影響が少ない状態での解決方法が最優先です。

今回の場合、サーバー担当者の切り分けの間違いが原因でした。
自分は、クライアント担当なのでサーバーの状態もわからず、サーバーにアクセスもできないのでサーバー担当にはサーバー側のログを確認するように依頼をしています。

サーバー担当がログを確認したところ「Good PIN, Good Tokencode」なので、RSA Authentication Managerでは正常であると検証できていると回答してきましたが、その後に行われるActiveDirectoryサーバーのログの確認を忘れていたようです。
ActiveDirectoryサーバーで監査を有効にしてあれば、セキュリティログに「失敗の監査」のログがあるので、ActiveDirectoryサーバーのログから原因がわかったはずです。

本日、自分が体調不良で午前中 休んでいるときユーザーから問い合わせがあり、リモート接続ではなく、会社に出勤しているがログインできないということで、昨日の「無効な認証情報です」は、ユーザーのActiveDirectory
アカウントのパスワードが誤っていてActiveDirectory認証に失敗していることがわかりました。

サーバー担当がActiveDirectoryサーバーのログを確認していれば、サーバー担当がトークン・シードを生成してそれを送ってユーザーに試してもらうなんて無駄な手順は必要なかったのですが、サーバー担当は、それしか
思いつかなかったようです。
まあ、サーバー担当者が、認証の順番がRSA Authentication Manager→ActiveDirectoryサーバーになるということ
を知らないという可能性もありますが・・・。なぜ・・・サーバー担当者が知らないのだろう?

>思いきってテスト用のゲストアカウントを作成して試してもらうとかダメですかね。

サーバー担当に確認したことはないですが、一般的にはテスト用のアカウントはあるはずなので、おそらくテスト用のアカウントはあると思います。
ただ、ユーザーに切り分けのためといえども、テスト用アカウントでのログインを試してもらうのは難しいです。
テスト用アカウントといえども、安易にユーザーに教えるべきではないですし、どうしてもという場合でも、切り分けを行って最後にはそれしかない
場合に試してもらうことになりますので、今回の場合、十分に切り分けができているとは言えないので難しいです。

投稿日時 - 2017-07-25 22:44:48

あなたにオススメの質問